FacebookTwitterLinkedIn

Instrukcje usuwania trojana bankowego Coyote

Znany również jako: Złośliwe oprogramowanie bankowe Coyote
Typ: Trojan
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez ,

Jakim rodzajem złośliwego oprogramowania jest Coyote?

Coyote to trojan bankowy. To złośliwe oprogramowanie zostało zaprojektowane w celu wydobywania poufnych informacji z urządzeń i szuka głównie danych związanych z bankowością internetową. Coyote atakuje ponad sześćdziesiąt brazylijskich banków. Ten złośliwy program jest wyrafinowany i posiada złożony łańcuch infekcji.

Coyote wykrycia złośliwego oprogramowania w serwisie VirusTotal

Przegląd złośliwego oprogramowania Coyote

Proces infekcji Coyote jest dość nowatorski, zwłaszcza w porównaniu z innymi złośliwymi programami bankowymi. Wykorzystuje Squirrel - legalny instalator do instalowania i aktualizowania aplikacji komputerowych Windows. Po uruchomieniu instalatora wykonuje on aplikację Node.js, która uruchamia zaciemniony JavaScript. Celem końcowym tego kodu jest uruchomienie prawdziwego oprogramowania niezbędnego do przeprowadzenia dalszego etapu infekcji poprzez ładowanie boczne DLL.

Technika ta polega na wykorzystaniu mechanizmu wyszukiwania DLL systemu Windows w celu wykorzystania legalnej aplikacji do wykonania złośliwego ładunku. Odnotowano kilka plików wykonywalnych używanych w celu ułatwienia bocznego ładowania bibliotek DLL, w tym te związane z Google Chrome i OBS Studio.

Zamiast oryginalnego pliku wykonywalnego uruchamiana jest złośliwa biblioteka DLL, która prowadzi do wprowadzenia programu ładującego napisanego w języku programowania Nim. Ten program ładujący rozpakowuje i uruchamia plik wykonywalny Coyote.

Po tym, jak trojan ustali swoją trwałość i połączy się z serwerem C&C (Command and Control), zaczyna przeszukiwać system w poszukiwaniu odpowiednich danych i monitorować otwarte aplikacje.

W chwili pisania tego tekstu lista celów Coyote obejmowała 61 brazylijskich banków. Po otwarciu aplikacji bankowej lub interesującej strony internetowej - trojan może wykorzystać wiele możliwości, aby uzyskać poszukiwane informacje.

Złośliwe oprogramowanie może wykonywać zrzuty ekranu, rejestrować naciśnięcia klawiszy (keylogging), wyświetlać nakładki okien i pełnoekranowe oraz manipulować kursorem. Nakładki phishingowe naśladują interfejsy aplikacji/stron bankowych i rejestrują wprowadzane dane (np. dane logowania, szczegóły transakcji, numery kart kredytowych itp.)

Ponadto Coyote może wyświetlać nakładki twierdzące, że strona banku jest w trakcie aktualizacji, co blokuje użytkownikom możliwość interakcji z ich urządzeniami. Inne możliwości tego złośliwego oprogramowania obejmują zakończenie procesu i zamknięcie systemu operacyjnego.

Należy wspomnieć, że twórcy złośliwego oprogramowania często aktualizują swoje oprogramowanie i metodologie - dlatego potencjalne przyszłe iteracje Coyote mogą mieć dodatkowe / inne funkcje lub funkcje.

Podsumowując, obecność oprogramowania takiego jak Coyote na urządzeniach może prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.

Podsumowanie zagrożeń:
Nazwa Złośliwe oprogramowanie bankowe Coyote
Typ zagrożenia Trojan, złośliwe oprogramowanie bankowe.
Nazwy wykrywania Avast (Win64:Evo-gen [Trj]), Combo Cleaner (Gen:Variant.Tedy.482127), ESET-NOD32 (Wariant MSIL/Spy.Banker_AGen.D), Kaspersky (Trojan-Banker.MSIL.Coyote.c), Microsoft (Trojan:Win32/Casdet!rfn), Pełna lista wykryć (VirusTotal)
Objawy Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze.
Metody dystrybucji Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania.
Szkody Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady trojanów bankowych

Zbadaliśmy tysiące próbek złośliwego oprogramowania; BBTok, Ares i Javali to tylko kilka z naszych artykułów na temat trojanów bankowych.

Złośliwe oprogramowanie może mieć różne cele i możliwości. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być eliminowane natychmiast po wykryciu.

Jak Coyote przeniknął do mojego komputera?

Dokładne metody dystrybucji wykorzystywane do rozprzestrzeniania Coyote nie są znane. Ogólnie rzecz biorąc, cyberprzestępcy wykorzystują w tym celu przede wszystkim techniki phishingu i inżynierii społecznej.

Złośliwe programy są zazwyczaj ukryte lub dołączone do zwykłego oprogramowania/plików multimedialnych. Występują w różnych formatach, np. pliki wykonywalne (.exe, .run itp.), archiwa (ZIP, RAR itp.), dokumenty (Microsoft Office, Microsoft OneNote, PDF itp.), JavaScript itp. Gdy taki plik zostanie wykonany, uruchomiony lub w inny sposób otwarty - uruchamiany jest łańcuch infekcji.

Najczęściej stosowane metody dystrybucji obejmują: niezaufane źródła pobierania (np. witryny z freeware i stron trzecich, sieci udostępniania P2P itp.), pobieranie drive-by (ukradkowe / zwodnicze), złośliwe załączniki / linki w spamie (np. wiadomości e-mail, DM / PM, posty w mediach społecznościowych itp.), oszustwa internetowe, złośliwe reklamy, nielegalne narzędzia do aktywacji oprogramowania ("pęknięcia") i fałszywe aktualizacje.

Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Zdecydowanie zalecamy zachowanie czujności podczas przeglądania, ponieważ oszukańcze i złośliwe treści online zwykle wydają się autentyczne i nieszkodliwe. Innym zaleceniem jest zachowanie ostrożności w przypadku przychodzących wiadomości e-mail i innych wiadomości. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych wiadomościach, ponieważ mogą one być zakaźne.

Ponadto wszystkie pliki do pobrania muszą pochodzić z oficjalnych i zweryfikowanych kanałów. Zalecamy aktywację i aktualizację oprogramowania za pomocą legalnych funkcji/narzędzi, ponieważ te uzyskane od stron trzecich mogą zawierać złośliwe oprogramowanie.

Niezwykle ważne jest zainstalowanie i aktualizowanie niezawodnego programu antywirusowego. Programy zabezpieczające muszą być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.

Aktualizacja z 3 lutego 2025 r.: Złośliwe oprogramowanie Coyote jest teraz dystrybuowane za pośrednictwem złośliwych plików LNK (skrótów), które są używane do uzyskania początkowego dostępu. Po otwarciu pliki LNK wykonują złośliwe skrypty PowerShell, które łączą się ze zdalnymi serwerami. Skrypty te pobierają program ładujący, który inicjuje kolejny etap ataku.

Zrzut ekranu pliku LNK z poleceniem PowerShell, które łączy się ze zdalnym serwerem jako celem:

Coyote trojan update 2025-02-03 aktualizacja złośliwy skrót

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.

Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Proces złośliwego oprogramowania uruchomiony w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:

krok ręcznego usuwania złośliwego oprogramowania 1Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:

Wygląd aplikacji Autoruns

krok ręcznego usuwania złośliwego oprogramowania 2Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Uruchom system Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Uruchamianie systemu Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".

W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

krok ręcznego usuwania złośliwego oprogramowania 3Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.

Rozpakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

krok ręcznego usuwania złośliwego oprogramowania 4W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".

Odświeżanie wyników aplikacji Autoruns

krok ręcznego usuwania złośliwego oprogramowania 5Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.

Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".

Usuwanie złośliwego oprogramowania z Autoruns

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem Coyote, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usuwanie złośliwego oprogramowania rzadko wymaga tak drastycznych środków.

Jakie są największe problemy, które może powodować złośliwe oprogramowanie Coyote?

Zagrożenia związane z infekcją zależą od funkcjonalności złośliwego oprogramowania i celów atakujących. Coyote atakuje głównie informacje bankowe. W związku z tym najbardziej prawdopodobne zagrożenia obejmują poważne kwestie prywatności, straty finansowe i kradzież tożsamości.

Jaki jest cel złośliwego oprogramowania Coyote?

Złośliwe oprogramowanie jest zwykle wykorzystywane do generowania przychodów, a w oparciu o możliwości Coyote - jest to również cel tego trojana. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. stron internetowych, usług, firm itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.

Jak złośliwe oprogramowanie Coyote przeniknęło do mojego komputera?

Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez pobieranie drive-by download, oszustwa internetowe, spam, podejrzane kanały pobierania (np. witryny z darmowym oprogramowaniem i darmowymi plikami, sieci udostępniania Peer-to-Peer itp.), złośliwe reklamy, nielegalne narzędzia do aktywacji programów ("cracking") i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner został zaprojektowany do skanowania urządzeń i eliminowania wszelkiego rodzaju zagrożeń. Jest w stanie wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Należy pamiętać, że uruchomienie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Złośliwe oprogramowanie bankowe Coyote kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Złośliwe oprogramowanie bankowe Coyote na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.